当前位置:首页 >> 农林牧渔 >>

s03-流量分析技术-netflow


NETFLOW技术原理
第三章

IP网络流量分析

3-1

目录
? NETFLOW技术原理 ? 主流流量分析工具简介

? 实验
– 使用NETFLOW对网络流量进行分析

IP网络流量分析

3-2

NetFlow原型

IP网络流量分析

3-3

NetFlow 的7个关键字

? Flow是由7个关键字段标识单方向的连接 – IPsrc,源IP地址 – IPdst,目标IP地址 – srcPort,源通信端口号 – dstPort,目标通信端口号 – Protocol,第三层协议类型 – TOS,TOS字节(DSCP) – Ifindex,网络设备输入(或输出)的逻辑网络端口
IP网络流量分析
3-4

NetFlow原理-1
? 每当路由器端口上收到一个数据包,都

会扫描这7个字段来判断次数据包是否属 于一个已经存在的flow
– 是>相应的flow记录内的数据包数,整个flow 过程的字节大小就会相应增加 – 否>一条新的描述这个session的flow在cache 中生成

? 在新的flow不断生成的同时,cache内过

期的flow记录以UDP方式导出
IP网络流量分析
3-5

NetFlow原理-2

IP网络流量分析

3-6

支持NetFlow的设备

NE系列

IP网络流量分析

3-7

对于不支持netflow的设备
? ? ? ?

读入流量,生成netflow数据 Nprobe v5/v9/nFlow Probe for IPv4/v6 Packet Size (Bytes): Throughtput (Pkt/sec)
– 64 ~ about 144 Mbit – 512 ~ about 850 Mbit – 1500 ~ about 970 Mbit

? GPL:但是不免费
IP网络流量分析
3-8

NetFlow版本

IP网络流量分析

3-9

版本 V5

IP网络流量分析

3-10

版本 v8

IP网络流量分析

3-11

版本v9

IP网络流量分析

3-12

版本v9

IP网络流量分析

3-13

NetFlow的性能
? CPU – With ~ 10000 active flows: 7.14 percentage points of additional CPU utilization – With ~ 45000 active flows: 19.16 percentage points of additional CPUutilization – With ~ 65000 active flows: 22.98 percentage points of additional CPU utilization ? 带宽 – Netflow is very efficient, the amount of export data being about 1.5% of the switched traffic in the router
IP网络流量分析
3-14

NetFlow实测对比
? CISCO实测
– 某省骨干端口GE口 GSR12416 – CPU前后没有变化2% – 平均入流量在650M,采样 率为500的时候 – 15分钟平均flow条数为 110000万条 – 每秒122条flow – 122*1.4k=171k/sec – 预期:650M的百分之一 6.5兆=6500k

? Juniper实测
– 某省骨干端口GE JUNIPER M160 – CPU前后没有变化3.76% – 平均入出流量在380M,采 样率为100的时候 – 15分钟平均flow条数为 700000万条 – 每秒778条flow – 778*1.3k=1011k/sec – 预期:380M的百分之一 3.8兆=3800k

IP网络流量分析

3-15

NetFlow采样
? Significantly reduces CPU utilization ? 采样模式 – Deterministic sampling: select every Nth packets, with N specified by the user. – Random sampling: randomly select one out of N packets with N specified by the user. – Time based sampling: select a sampled packet every N milli-seconds – Random sampling is considered the best technique for packet sampling
IP网络流量分析
3-16

NetFlow采样
? 新推出 – Available on Cisco routers in 12.3(7)T and 12.2(25)S – 从翻的MIB表里面看主要是TOP x属性 – “ciscoNetflowMIB” “1.3.6.1.4.1.9.9.387”
? E.g.
– – – – – “cnfTopFlowsNhAddressType” “cnfTopFlowsNhAddress” “cnfTopFlowsDstPort” “cnfTopFlowsDstAS” “cnfTopFlowsInputlfIndex”

IP网络流量分析

3-17

NetFlow开源产品
? 主流的开源产品包括:flow-tools、

stager、Cflowd、CUFLOW、SiLK... ? 特征:
– 命令行或者简单图形 – 命令行功能丰富 – 图形的一般都基于rrdtools – 图形的一般都基于TOPN表示

IP网络流量分析

3-18

NetFlow商用产品
? 商用产品 – Mazunetworks 基于网络的IPS系统 – NetScout 网络性能管理综合解决方案,探针 – Protego SI/EM之上的STM,刚被cisco收购 – Adlex – Arbor 见后 – GenieNRM 见后 – Arbor,Adlex是CISCO安全策略合作伙伴
IP网络流量分析
3-19

Flow tools

IP网络流量分析

3-20

Arbor
? 支持NetFlow V5,V7,V9,probe

? Peakflow SP(最新的arbor主页无法看到DoS和

Traffic,合并了?)

– Peakflow DoS:主要侧重于网络内的异常行为 – Peakflow Traffic:主要侧重于流量和路由行为

? 国外较多网络宽带提供商据使用的是Arbor的产

品,如:
– AT&T, British Telecom, EarthLink, Qwest, Sprint

IP网络流量分析

3-21

GenieNRM NTG
? 支持NetFlow V1,V5,V7,Netstream,

sFlow,探针NTG ? 提供流量统计、流量成分分析以及Top-N 排名 ? 功能侧重于历史流量等,安全方面相对 弱

IP网络流量分析

3-22

Arbor Netflow hardward
? 硬件 – Arbor高端peakflow sp – CPU:Intel Xeon 2.4G,512K – 操作系统:OPENBSD – 内存:2G ram – 硬盘:双147G (RAID 1) – 网卡:2口 10/100/1000兆 – 分析性能:每个收集器可处理20000个 Flows/秒-NTG – 只有性能,操作系统等关键问题不告知
IP网络流量分析
3-23

NetFlow的应用
? IDS and analysis – 异常流量检测 – 异常流量分析
? Top N ? 模式匹配 ? TCP标志位 ? ICMP ? 基线

IP网络流量分析

3-24

异常追踪
? ? ?

Source IP Source AS DDos
– – – – –

强调traceback,not defense 与backscatter相比,到dst的网络不中断! 选择性切断 Ifindex - spoof ip Octets with same size

?

Traffic diversion
IP网络流量分析
3-25

NetFlow的应用
? 对网络内的应用进行观测和分析 – 最受欢迎的HTTP SERVER? - XXX ;) – TOPN应用 – TOPN活跃的网段,主机 – 谁在BT,睡在架设私服,谁在发垃圾邮件 – 某种应用的历史实时曲线 – QoS – ... ...
IP网络流量分析
3-26

NetFlow优点与缺点
? 优点 – 面向网络核心设备 – 没有payload,适用于高宽带 – 检测未知的网络攻击/蠕虫,大规模爆发 – 基于统计的异常模式分析 ? 缺点 – 没有payload – 存储,处理要求 – 网络设备支持性 – 设备性能影响
IP网络流量分析
3-27

NetFlow适用范围
? 对高带宽,网络骨干,重点区域的监控

IP网络流量分析

3-28

NetFlow配置-1
?配置netflow版本号
?在config全局状态下

?(config)#ip flow-export version 5
?此命令将netflow配置为版本5

?本程序暂时只支持netflow版本V1、V5、V6

IP网络流量分析

3-29

NetFlow配置-2
? 配置netflow服务器地址和端口号
– config全局状态下: – (config)#ip flow-export destination xxx.xxx.xxx.xxx 55888 – xxx.xxx.xxx.xxx为netflow服务器地址,即运 行netflow版流量监视程序主机的IP地址

– 55888为服务端口号

IP网络流量分析

3-30

NetFlow配置-3
? 配置Cisco系列路由器/交换机
– 每个接口上,例如
? interface fastethernet0/0

? interface fastethernet0/1

– config全局状态下: – (config-if)#ip route-cache flow

IP网络流量分析

3-31

NetFlow配置-4
? 配置时区、时钟 – 在Config全局状态下 – (config)#clock timezone Beijing 8 – 此命令配置为北京时间,+8时区

IP网络流量分析

3-32

NetFlow配置-5
? 设置日期时间

– 在enable状态下 – #clock set 17:05:00 6 aug 2003 – 此命令配置为2003年8月6日17时05分00秒 ? 注意: – 要先配时区,后设置日期时间 – 接收netflow报文的计算机也要配置成相应的时区 – 有的Cisco机型掉电后,需重新设置日期和时间

IP网络流量分析

3-33


相关文章:
NetFlow技术入门
IP-NETFLOW等流量流向技... 103页 免费 s03-流量分析技术-netfl... 33页 ...NetFlow 的由来 传统上的网络管理者通常是通过 SNMP (Simple Network Management ...
流量分析新贵-NetFlow
流量分析新贵-NetFlow_信息与通信_工程科技_专业资料。详细介绍了netflow技术的历史...s03-流量分析技术-netfl... 33页 免费 Netflow简介 27页 免费 Netflow技术白皮...
流量分析新贵NetFlow介绍
s03-流量分析技术-netflow 33页 免费如要投诉违规内容,请到百度文库投诉中心;如要提出功能问题或意见建议,请点击此处进行反馈。 流量分析新贵NetFlow介绍 隐藏>> 流量...
利用思科Netflow技术进行IP网流量和流向分析--深入浅出的巨牛的Netflow资料!!
利用Cisco Netflow 技术进行 IP 网流量和流向分析 IP 网流量管理面临的挑战 随着宽带互联网在中国的迅速发展, 中国各大电信运营商的网络规模都在不断扩张且网络...
IP-NETFLOW等流量流向技术介绍
之前的 NetFlow 流记录版本都是固定格式的,报文中的字段都是固定的, 不可更改...s03-流量分析技术-netfl... 33页 1下载券 Netflow在IP城域网中的流... 71...
使用NetFlow分析网络异常流量
101页 8财富值 IP-NETFLOW流量流向技术... 103页 免费如要投诉违规内容,请到百度文库投诉中心;如要提出功能问题或意见建议,请点击此处进行反馈。 ...
NFT NetFlow 流量分析系统
NFT 生成的独特数据库,可收集、存储并提供基于 Netflow 流的网络流量报告。NFT ...s03-流量分析技术-netfl... 33页 免费 netflow系统建设方案 18页 免费 流量分...
Cisco路由器基于协议及MAC的流量分析Netflow
Cisco路由器基于协议及MAC的流量分析Netflow_PPT制作技巧_实用文档。黄帝内经白话文...s03-流量分析技术-netfl... 33页 免费 Cisco路由器上的IPSec协... 11页 免...
NetFlow Manager网络流量流向分析系统宣传彩页
功能特点基于 Netflow 流量分析技术,面向网络维护,融合了有效的网络维护 思想与方法,融入电信业务的特点,使具体网络问题的分析智能化; 面向网络维护中的具体问题提供...
网络流量分析
网络流量分析概述 摘要 Internet 自 60 年代出现以来发展迅猛,网络规模飞速膨胀,...7 2.4.3 基于 Netflow/sFlow 的流量采集技术。 ... 8 2.4.4 基于干路...
更多相关标签:
netflow流量分析 | netflow流量分析工具 | netflow流量分析软件 | netflow流量分析系统 | netflow 监控 流量 | netflow分析软件 | netflow 分析工具 | netflow 分析器 开源 |